Поделиться через

Оценка безопасности: небезопасное делегирование Kerberos

  • Статья

Что такое делегирование Kerberos?

Делегирование Kerberos — это параметр делегирования, который позволяет приложениям запрашивать учетные данные доступа конечного пользователя для доступа к ресурсам от имени исходного пользователя.

Какой риск представляет небезопасное делегирование Kerberos для организации?

Небезопасное делегирование Kerberos дает сущности возможность олицетворять вас для любой другой выбранной службы. Например, представьте, что у вас есть веб-сайт IIS, а учетная запись пула приложений настроена с неограниченным делегированием. На сайте веб-сайта IIS также включена проверка подлинности Windows, что позволяет использовать встроенную проверку подлинности Kerberos, а сайт использует серверную SQL Server для бизнес-данных. С помощью учетной записи Администратор домена перейдите на веб-сайт IIS и выполните на нем проверку подлинности. Веб-сайт, используя неограниченное делегирование, может получить билет службы от контроллера домена к службе SQL и сделать это от вашего имени.

Main проблема с делегированием Kerberos заключается в том, что необходимо доверять приложению, чтобы всегда делать правильные действия. Вредоносные субъекты могут вместо этого заставить приложение делать неправильные действия. Если вы вошли в систему с правами администратора домена, сайт может создать запрос на любые другие службы, которые он хочет, действуя как вы, администратор домена. Например, сайт может выбрать контроллер домена и внести изменения в группу администраторов предприятия . Аналогичным образом сайт может получить хэш учетной записи KRBTGT или скачать интересный файл из отдела кадров. Риск очевиден, и возможности с небезопасным делегированием почти бесконечны.

Ниже приведено описание риска, создаваемого различными типами делегирования.

  • Неограниченное делегирование. Любая служба может злоупотреблять, если одна из записей делегирования является конфиденциальной.
  • Ограниченное делегирование. Ограниченными сущностями можно злоупотреблять, если одна из записей делегирования является конфиденциальной.
  • Ограниченное делегирование на основе ресурсов (RBCD): сущности с ограниченными ресурсами могут злоупотреблять, если сама сущность является конфиденциальной.

Разделы справки использовать эту оценку безопасности?

  1. Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какие из сущностей, не относящихся к контроллеру домена, настроены для небезопасного делегирования Kerberos.

    Небезопасная оценка безопасности делегирования Kerberos.

  2. Примите соответствующие меры для пользователей, подверженных риску, например удалите их атрибут без ограничений или измените его на более безопасное ограниченное делегирование.

Примечание.

Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.

Исправление

Используйте исправление, соответствующее типу делегирования.

Неограниченное делегирование

Отключите делегирование или используйте один из следующих типов ограниченного делегирования Kerberos (KCD):

  • Ограниченное делегирование: Ограничивает службы, которые эта учетная запись может олицетворить.

    1. Выберите Этот компьютер доверенный для делегирования указанных служб.

      Исправление неограниченного делегирования Kerberos.

    2. Укажите службы, для которых эта учетная запись может предоставить делегированные учетные данные.

  • Ограниченное делегирование на основе ресурсов: Ограничивает сущности, которые могут олицетворять эту учетную запись.
    KCD на основе ресурсов настраивается с помощью PowerShell. Используйте командлеты Set-ADComputer или Set-ADUser в зависимости от того, является ли олицетворение учетной записью компьютера или учетной записью пользователя или учетной записью службы.

Ограниченное делегирование

Просмотрите конфиденциальных пользователей, перечисленных в рекомендациях, и удалите их из служб, которым затронутая учетная запись может предоставить делегированные учетные данные.

Исправление ограниченного делегирования Kerberos.

Ограниченное делегирование на основе ресурсов (RBCD)

Просмотрите конфиденциальных пользователей, перечисленных в рекомендациях, и удалите их из ресурса. Дополнительные сведения о настройке RBCD см. в разделе Настройка ограниченного делегирования Kerberos (KCD) в Доменные службы Microsoft Entra.

Дальнейшие действия